Contenu connexe
Similaire à DLP for top managers
Similaire à DLP for top managers (20)
Plus de Aleksey Lukatskiy
Plus de Aleksey Lukatskiy (20)
DLP for top managers
- 1. DLP с точки зрения топ-
менеджера
Алексей Лукацкий, бизнес-консультант по безопасности
© Cisco, 2010. Все права защищены. 1/58
- 2. DLP 1.0 Это модно и круто!
DLP 2.0 Блин! Груз проблем велик!
DLP 3.0 Привязать к бизнесу!
© Cisco, 2010. Все права защищены. 258
- 4. Топ-менеджер
Решение Решение
бизнес- задач
задач ИБ
Безопасник
© Cisco, 2010. Все права защищены. 458
- 6. Цели топ- Операционные
менеджмента цели
Цели ИБ
Финансовые
Цели ИТ
цели
Цели ИБ в данной ситуации вторичны, т.к. их никто
не понимает кроме службы ИБ
Грустно это признавать, но это так
© Cisco, 2010. Все права защищены. 658
- 7. COO
• Снижение лояльности клиентов за счет утечки их персональных
данных
CFO
• Снижение дохода за счет хищения интеллектуальной собственности
CEO
• Подрыв репутации и снижение курса акций в результате утечки
финансовой информации
CLO
• Иски и штрафы за счет нарушения нормативных требований
© Cisco, 2010. Все права защищены. 758
- 8. Управление рисками Защита от вирусов и
бизнеса вредоносного ПО
Планирование Защита хостов
непрерывности бизнеса Защита приложений
Соответствие Криптография
требованиям
Восстановление после
Контракты и катастроф
взаимоотношения с
третьими сторонами Сетевая безопасность
Лояльность
© Cisco, 2010. Все права защищены. 858
- 9. Регулятивные
Финансовые
Операционные
© Cisco, 2010. Все права защищены. 958
- 10. • DLP-решение обеспечивает предотвращение или контроль
утечек информации ограниченного доступа, к которой
согласно российскому законодательству относят
Конфиденциальную информацию (она же информация ограниченного
доступа)
Государственную тайну
• В российском законодательстве существует около 50 видов
тайн
Все они требуют защиты
• Нарушение не каждой из тайн влечет за собой наказание
© Cisco, 2010. Все права защищены. 1058
- 11. • В российском праве отсутствует единая классификация тайн
Указ президента №188 – только одна из попыток (не самая удачная)
• Также отсутствует четкое правовое понятие терминов
«тайна» и «конфиденциальная информация»
• В различных нормативных актах
Конфиденциальная информация приравнивается к гостайне
Конфиденциальная информация противопоставляется гостайне
Конфиденциальная информация включает тайну связи или находится с
ней на одном и том же уровне иерархии
Конфиденциальная информация не относится к охраняемой законом
© Cisco, 2010. Все права защищены. 1158
- 12. • Сведения об операциях, счетах и вкладах ее клиентов и
корреспондентов, а также об иных сведениях,
устанавливаемых кредитной организацией
Определена в ФЗ 395-1 «О банках и банковской деятельности», 857 ГК
РФ, Таможенный кодекс РФ, ФЗ «О реструктуризации кредитных
организаций»
Наказание за разглашение - 183 УК РФ, 81 ТК РФ
Примеров наказания руководства компаний практически нет
© Cisco, 2010. Все права защищены. 1258
- 13. • Любая информация, относящаяся к определенному или
определяемому на основании такой информации
физическому лицу (субъекту персональных данных), в том
числе его фамилия, имя, отчество, год, месяц, дата и место
рождения, адрес, семейное, социальное, имущественное
положение, образование, профессия, доходы, другая
информация
Определены в 143-ФЗ «Об актах гражданского состояния», 152-ФЗ «О
персональных данных», 242-ФЗ «О государственной геномной
регистрации в РФ» и т.д.
Наказание за разглашение - 13.11 КоАП, 137 УК РФ, 81 ТК РФ
Примеров наказания руководства компаний практически нет
© Cisco, 2010. Все права защищены. 1358
- 14. • Научно-техническая, технологическая, производственная,
финансово-экономическая или иная информация (в том
числе составляющая секреты производства (ноу-хау), которая
имеет действительную или потенциальную коммерческую
ценность в силу неизвестности ее третьим лицам, к которой
нет свободного доступа на законном основании и в
отношении которой обладателем такой информации введен
режим коммерческой тайны
Определена в 98-ФЗ «О коммерческой тайне»
Наказание за разглашение - 183 УК РФ, 81 ТК РФ
Примеров наказания руководства компаний практически нет
© Cisco, 2010. Все права защищены. 1458
- 15. Наказание за
Тайна Содержимое Нормативный акт
разглашение
Научно-техническая, технологическая,
производственная, финансово-
экономическая или иная информация (в
том числе составляющая секреты
Информация, производства (ноу-хау), которая имеет
составляющая действительную или потенциальную 98-ФЗ "О коммерческой
183 УК РФ, 81 ТК РФ
коммерческую коммерческую ценность в силу тайне"
тайну неизвестности ее третьим лицам, к
которой нет свободного доступа на
законном основании и в отношении
которой обладателем такой информации
введен режим коммерческой тайны
ФЗ 395-1 "О банках и
Сведения об операциях, счетах и
банковской деятельности",
Банковская тайна вкладах ее клиентов и корреспондентов,
857 ГК РФ, Таможенный
(тайна банковских а также об иных сведениях, 183 УК РФ, 81 ТК РФ
кодекс РФ, ФЗ "О
вкладов) устанавливаемых кредитной
реструктуризации
организацией
кредитных организаций"
Указ Президента от
6.03.1997 №188, 139 ГК РФ,
Служебные сведения, доступ к которым
ФЗ "Об основах
ограничен органами государственной
государственной службы
Служебная тайна власти в соответствии с Гражданским 81 ТК РФ
Российской Федерации",
кодексом Российской Федерации и
Постановление
федеральными законами
Правительства РФ от
3.11.94г. № 1233
© Cisco, 2010. Все права защищены. 1558
- 16. Наказание за
Тайна Содержимое Нормативный акт
разглашение
Тайна кредитной 218-ФЗ "О кредитных
81 ТК РФ
истории историях"
Сведения о страхователе,
застрахованном лице и
Тайна страхования выгодоприобретателе, состоянии их 946 ГК РФ 81 ТК РФ
здоровья, а также об имущественном
положении этих лиц
Сведения, касающиеся содержания
Тайна завещания завещания, его совершения, изменения 1123 ГК РФ 81 ТК РФ
или отмены
Любые полученные налоговым органом,
органами внутренних дел, органом
государственного внебюджетного фонда и 146-ФЗ "Налоговый кодекс
Налоговая тайна 183 УК РФ, 81 ТК РФ
таможенным органом сведения о РФ"
налогоплательщике (за рядом
исключением)
Тайна усыновления
223-ФЗ Семейный кодекс РФ 155 УК РФ, 81 ТК РФ
ребенка
© Cisco, 2010. Все права защищены. 1658
- 17. Наказание за
Тайна Содержимое Нормативный акт
разглашение
Сведения о наличии у гражданина
психического расстройства, фактах
117-ФЗ "О психиатрической
обращения за психиатрической помощью
Врачебная тайна помощи и гарантиях прав 81 ТК РФ
и лечении в учреждении, оказывающем
граждан при ее оказании"
такую помощь, а также иные сведения о
состоянии психического здоровья
Информация о факте обращения за
медицинской помощью, состоянии
здоровья гражданина, диагнозе
заболевания, иные сведения, полученные Основы законодательства 151 ГК РФ, 1064 ГК
при обследовании и лечении гражданина, РФ об охране здоровья РФ, 137 УК РФ, 81
а также сведения о проведенных граждан ТК РФ
искусственном оплодотворении и
имплантации эмбриона, а также о
личности донора
Результаты обследования лица,
Медицинская тайна 223-ФЗ Семейный кодекс РФ 81 ТК РФ
вступающего в брак
4180-1-ФЗ "О
Сведения о доноре
Возможно это врачебная тайна трансплантации органов 81 ТК РФ
и реципиенте
и(или) тканей человека"
© Cisco, 2010. Все права защищены. 1758
- 18. Наказание за
Тайна Содержимое Нормативный акт
разглашение
Тайна переписки,
телефонных
переговоров,
176-ФЗ "О почтовой связи",
почтовых, 138 УК РФ, 81 ТК РФ
126-ФЗ "О связи", УПК РФ
телеграфных или
иных сообщений
(тайна связи)
Тайна частной
жизни (личная Общее понятие Конституция РФ, 150 ГК РФ 137 УК РФ, 81 ТК РФ
тайна)
Любые сведения и документы,
полученные и (или) составленные
аудиторской организацией и ее
307-ФЗ "Об аудиторской
Аудиторская тайна работниками, а также индивидуальным 81 ТК РФ
деятельности"
аудитором и работниками, с которыми им
заключены трудовые договоры, при
оказании услуг (за рядом исключений)
Тайна 241 УПК РФ, 10 ГПК РФ, 11
судопроизводства АПК РФ, 166 УПК РФ, Указ
81 ТК РФ
(тайна следствия и Президента от 6.03.1997
судопроизводства) №188
© Cisco, 2010. Все права защищены. 1858
- 19. Наказание за
Тайна Содержимое Нормативный акт
разглашение
Адвокатская тайна
Любые сведения, связанные с оказанием 63-ФЗ "Об адвокатской
(она же тайна
адвокатом юридической помощи своему деятельности и адвокатуре в 81 ТК РФ
судебного
доверителю РФ"
представительства)
Основы законодательства
Тайна нотариальных
Российской Федерации о 81 ТК РФ
действий
нотариате
Профессиональная Указ Президента от
Общее понятие 81 ТК РФ
тайна 6.03.1997 №188
143-ФЗ "Об актах
гражданского состояния",
Персональные 152-ФЗ "О персональных 13.11 КоАП, 137 УК
данные данных", 242-ФЗ "О РФ, 81 ТК РФ
государственной геномной
регистрации в РФ"
125-ФЗ "О свободе совести 120-е правило
Тайна исповеди и о религиозных Номоканона при
объединениях" Большом Требнике
© Cisco, 2010. Все права защищены. 1958
- 20. Наказание за
Тайна Содержимое Нормативный акт
разглашение
Государственная ФЗ 5485-1 "О
81 ТК РФ и др.
тайна государственной тайне"
Семейная тайна 137 УК РФ 137 УК РФ, 81 ТК РФ
51-ФЗ "О выборах депутатов
Государственной Думы
Федерального Собрания
РФ", 19-ФЗ "О выборах
Тайна голосования Президента РФ", 67-ФЗ "Об 141 УК РФ, 81 ТК РФ
основных гарантиях
избирательных прав и права
на участие в референдуме
граждан РФ"…
Журналистская 2124-1-ФЗ "О средствах
81 ТК РФ
тайна массовой информации"
© Cisco, 2010. Все права защищены. 2058
- 21. Наказание за
Тайна Содержимое Нормативный акт
разглашение
Сведения любого характера
(производственные, технические,
экономические, организационные и
другие), в том числе о результатах
интеллектуальной деятельности в научно-
технической сфере, а также сведения о
способах осуществления
Секрет производства профессиональной деятельности,
1465 ГК РФ 183 УК РФ, 81 ТК РФ
(ноу-хау) которые имеют действительную или
потенциальную коммерческую ценность в
силу неизвестности их третьим лицам, к
которым у третьих лиц нет свободного
доступа на законном основании и в
отношении которых обладателем таких
сведений введен режим коммерческой
тайны
Сведения об
сущности
изобретения,
полезной модели 147 УК РФ, 7.12
147 УК РФ, 7.12 КоАП
или промышленного КоАП, 81 ТК РФ
образца до их
официальной
публикации
© Cisco, 2010. Все права защищены. 2158
- 22. Наказание за
Тайна Содержимое Нормативный акт
разглашение
Тайна
предварительного 139 УПК РФ, ФЗ 2202-1 "О
310 УК РФ, 81 ТК РФ
расследования прокуратуре РФ"
(следствия)
Тайна сведений о
мерах безопасности
в отношении судьи и 311 УК РФ 311 УК РФ, 81 ТК РФ
иных участников
уголовного процесса
Тайна сведений о
мерах безопасности
в отношении
должностного лица 320 УК РФ, 17.13
320 УК РФ, 17.13 КоАП
правоохранительног КоАП, 81 ТК РФ
о или
контролирующего
органа
Сведения о частной жизни (личной и
Тайна дневников и семейной тайне), содержащиеся в Присутствовало в
137 УК РФ, 81 ТК РФ
личных записей дневниках, блокнотах, записныъ книжках, предыдущей версии ГК РФ
записках и т.п.
© Cisco, 2010. Все права защищены. 2258
- 23. Наказание за
Тайна Содержимое Нормативный акт
разглашение
Сведения об отношении к религии, к
исповеданию или отказу от исповедания
религии, об участии или неучастии в 125-ФЗ "О свободе совести и
Тайна
богослужениях, других религиозных о религиозных 81 ТК РФ
вероисповедания
обрядах и церемониях, о деятельности в объединениях"
религиозных объединениях, об обучении
религии
Сведения о местах дислокации или о
передислокации соединений и воинских
частей внутренних войск, а также
Тайна сведений о
сведения о военнослужащих внутренних
военнослужащих 27-ФЗ "О внутренних
войск, принимавших участие в пресечении 81 ТК РФ
внутренних войск войсках МВД РФ"
деятельности вооруженных преступников,
МВД
незаконных вооруженных формирований
и иных организованных преступных групп,
а также сведений о членах их семей
Тайна сведений
личного
характера, ставшие 122-ФЗ "О социальном
известными обслуживании граждан
81 ТК РФ
работникам пожилого возраста и
учреждений при инвалидов"
оказании
социальных услуг
© Cisco, 2010. Все права защищены. 2358
- 24. Наказание за
Тайна Содержимое Нормативный акт
разглашение
119-ФЗ "О государственной
Тайна сведений о
защите потерпевших,
потерпевших,
свидетелей и иных
свидетелей и иных
участников уголовного 81 ТК РФ
участников
судопроизводства", Указ
уголовного
Президента от 23.09.2005
судопроизводства
№1111
Производственная Скорее всего совпадает с понятием 146-ФЗ "Налоговый кодекс
81 ТК РФ
тайна "секрет производства" РФ"
Любая не являющаяся общедоступной
информация об эмитенте и выпущенных
им эмиссионных ценных бумагах, которая
ставит лиц, обладающих в силу своего
Тайна ценных бумаг
служебного положения, трудовых 39-ФЗ "О рынке ценных
(она же служебная 81 ТК РФ
обязанностей или договора, заключенного бумаг"
информация)
с эмитентом, такой информацией, в
преимущественное положение по
сравнению с другими субъектами рынка
ценных бумаг
© Cisco, 2010. Все права защищены. 2458
- 25. Наказание за
Тайна Содержимое Нормативный акт
разглашение
76-ФЗ "О статусе
Некоторые юристы относят военную тайну
военнослужащих", Устав
Военная тайна либо к государственной тайне, либо к 81 ТК РФ
внутренней службы
служебной тайне Вооруженных сил РФ
Вооруженных Сил РФ
Тайна сведений о
лицах, внедренных в
организованные
преступные группы,
штатных негласных
сотрудников
органов,осуществля
ющих оперативно- 144-ФЗ "Об оперативно-
81 ТК РФ
розыскную розыскной деятельности"
деятельность, а
также лицах,
оказывающих или
оказывавших им
содействие на
конфиденциальной
основе
Тайна совещания Суждения, имевшие место при
298 УПК РФ 81 ТК РФ
судей обсуждении и постановлении приговора
© Cisco, 2010. Все права защищены. 2558
- 26. Наказание за
Тайна Содержимое Нормативный акт
разглашение
Тайна совещания
Суждения, имевшие место во время
присяжных 341 УПК РФ 81 ТК РФ
совещания
заседателей
Информация об особенностях строения
128-ФЗ "О государственной
Дактилоскопическая папиллярных узоров пальцев рук
дактилоскопической 81 ТК РФ
тайна человека и о его личности (охраняется в
регистрации в РФ"
режиме служебной тайны)
352-ПП от 28.05.1992 "О
заключении
межправительственных
Торговая тайна 81 ТК РФ
соглашений во избежании
двойного налогообложения
жоходов и имущества"
352-ПП от 28.05.1992 "О
заключении
Промышленная межправительственных
81 ТК РФ
тайна соглашений во избежании
двойного налогообложения
доходов и имущества"
© Cisco, 2010. Все права защищены. 2658
- 27. Наказание за
Тайна Содержимое Нормативный акт
разглашение
Соглашение между
Правительством РФ и
Правительством Республики
Беларусь об избежании
Секретный торговый
двойного налогообложения и 81 ТК РФ
процесс
предотвращении уклонения
от уплаты налогов в
отношении налогов на
доходы и имущество
Соглашение между
Информация, Правительством РФ и
противоречащая Правительством Республики
81 ТК РФ
государственным Узбекистан об избежании
интересам двойного налогооблажения
доходов и имущества
Соглашение между
Правительством РФ и
Информация,
Правительством Республики
раскрытие которой
Молдова об избежании
противоречит 81 ТК РФ
двойного налогооблажения
национальному
доходов и имущества и
законодательству
предотвращении уклонения
от уплаты налогов
© Cisco, 2010. Все права защищены. 2758
- 28. Наказание за
Тайна Содержимое Нормативный акт
разглашение
Конвенция между
Информация, Правительством РФ и
которую нельзя Правительством
получить в ходе Королевства Швеции об
81 ТК РФ
обычной избежании двойного
административной налогообложения в
практики отношении налогов на
доходы
В зависимости от нормативного акта
может включать в себя государственную
тайну, противопоставляться ей, быть 61-ФЗ "Таможенный Кодекс
Конфиденциальная самостоятельным видом тайны (наряду, РФ", 126-ФЗ "О связи", Указ
81 ТК РФ
информация например, с банковской или Президента от 6.03.1997
коммерческой тайной, а также тайной №188
связи), а также вообще не считаться
охраняемой законом
3-ФЗ "О статусе депутата
Совета Федерации и статусе
Депутатская тайна депутата Государственной 81 ТК РФ
Думы Федерального
Собрания РФ", 56 УПК РФ
Тайна жилища Конституция РФ 139 УК РФ
© Cisco, 2010. Все права защищены. 2858
- 29. • Цена на запись
стоимость уведомления (создание списка пострадавших, печать,
почтовые услуги) - $20 на одного клиента
стоимость реагирования пострадавших, например, звонки в Help Desk
(опционально) - $20 на одного клиента
стоимость защитных мер у заказчиков, например, регулярные
уведомления, системы борьбы с мошенничеством, средства ИБ
(опционально)
• Дополнительные метрики
Отток клиентов (в течении 1, 3, 6, 12, n месяцев)
Удар по курсовой стоимости акций (в течении 1, 3, 6, 12, n месяцев)
Удар по доходам (в течении 1, 3, 6, 12, n дней или недель - в месяцах
измерять нет смысла - рынок все забывает)
© Cisco, 2010. Все права защищены. 2958
- 30. • Первая версия опубликована в
январе 2005; текущая версия -
2.0
• PCI DSS 2.0 станет обязательным
с 1-го января 2012
• Влияет на ВСЕХ кто
Обрабатывает
Передает
Хранит: данные владельцев карт
Payment Card Industry
• PCI – это не государственный Data Security Standard
стандарт. Это соглашение между
платежной системой и ее
участниками
© Cisco, 2010. Все права защищены. 3058
- 31. 250
$197 $202 $204
200 $182
150 $138
100
50
0
2005 2006 2007 2008 2009
© Cisco, 2010. Все права защищены. 3158
- 32. $5,838,781
Разница
Цена соответствия $3,529,570
Цена несоответствия $9,368,351
$0 $5,000,000 $10,000,000
Таблица1: Средняя цена соответствия Таблица 2: Средняя цена несоответствия
Задача Цена Тип инцидента Цена
Политики $297,910 Нарушения торговли $3,297,633
Взаимодействия $343,119 Потери продуктивности $2,437,795
Управление программой $441,859 Потери доходов $2,180,976
Защита данных $1,034,148 Штрафы $1,451,947
Мониторинг соответствия $636,542 Всего $9,368,351
Внедрение защитных мер $775,991
Всего $3,529,570
Источник: The True Cost of Compliance, Ponemon, 2010
© Cisco, 2010. Все права защищены. 3258
- 33. • Каждая платежная система в каждом регионе имеет свои
штрафы
• Пример
Штраф $25К-100К в месяц
Понижение на 1 уровень в иерархии
Банки-эквайеры штрафуются на $25К за каждого несоответствующего
требованиям PCI DSS клиента
При несообщение об инциденте – штраф $100К (до $500К)
© Cisco, 2010. Все права защищены. 3358
- 34. • Все штаты США имеют собственные законы, обязывающие
компании, ставшие жертвой утечек персональных данных
своих клиентов, уведомлять последних об этих фактах
Стоимость уведомления одного клиента – от 20 долларов
• Чтобы уведомить, необходимо узнать об утечке
• Первая ласточка - California's Database Security Breach
Notification Act (SB 1386) and General Security Standard for
Businesses (AB 1950)
Почти все 52 штата США имеют соответствующее законодательство
В Европе готовится такое законодательство
• В России требований публичного уведомления об утечках нет!
© Cisco, 2010. Все права защищены. 3458
- 35. • Базель II (Международная конвергенция измерения капитала
и стандартов капитала: новых подходы)
Принят в 2004-м году (первая версия – в 1988 г.)
• Ориентация на финансовые институты
• Базель II применяется в США, Евросоюзе, Канаде, Японии и
Индии
• В России и некоторых других странах СНГ планировалось
сделать эти требования обязательными в 2009-2010 гг.
Но вмешался кризис ;-(
© Cisco, 2010. Все права защищены. 3558
- 36. • Базель II предъявляет требования к минимальному размеру
банковского капитала
Подход может применяться и к другим отраслям
• Необходимо оценивать кредитные, рыночные и
операционные риски и резервировать капитал на их покрытие
Операционные риски появились только во второй версии соглашения
• Неэффективное управление операционными рисками
приводит
К возрастанию операционных рисков
К большим финансовым резервам, «вырванным» из бизнеса
© Cisco, 2010. Все права защищены. 3658
- 37. 1-ый уровень 2-ой уровень 3-ий уровень
событий событий событий
Неотраженные в отчетности
Неразрешенная операции
деятельность Неразрешенные типы
Внутреннее операций
мошенничество Умышленное уничтожение
Воровство и активов
мошенничество Присвоение чужих счетов
Воровство, хищения, грабеж
Воровство и Воровство, грабеж
Внешнее мошенничество Подделка
мошенничество Хакерство
Безопасность систем Кража информации
Организация трудовой
Взаимоотношения с
деятельности
сотрудниками Вопросы оплаты труда
Кадровая политика и
безопасность труда Охрана здоровья
Безопасная среда Компенсации сотрудникам
Дискриминация Все типы дискриминации
© Cisco, 2010. Все права защищены. 3758
- 38. 1-ый уровень 2-ой уровень 3-ий уровень
событий событий событий
Нарушения инструкций
Приемлемость, Раскрытие информации
раскрытие Злоупотребления
конф.информацией
Деятельность без лицензии
Неправильная деловая
или рыночная практика
Клиенты, продукты и
деловая практика Дефекты продуктов
Изъяны продуктов Ошибки конструкции
Выбор, спонсорство и Превышение лимитов риска
риски на одного клиента
Разногласия в оценках
Консалтинговые услуги результатов консалтинговых
услуг
Ущерб от природных
Причинение ущерба Катастрофы и прочие
катастроф
физическим активам события Терроризм, вандализм
© Cisco, 2010. Все права защищены. 3858
- 39. • Ст.13.12. Нарушение правил защиты информации (КоАП)
п.1 – нарушение лицензионных условий (до 10К рублей)
п.2. – использование несертифицированных СЗИ, если они подлежат
обязательной сертификации (до 20К рублей + конфискация)
п.3 – нарушение лицензионных условий по гостайне (до 20К рублей)
п.4. – использование несертифицированных СЗИ для гостайны (до 30К
рублей + конфискация)
п.5 – грубое нарушение лицензионных условий (до 15К рублей +
приостановление деятельности до 90 суток)
© Cisco, 2010. Все права защищены. 3958
- 40. Снижает неопределенность
при принятии решений
Влияет на поведение людей,
Имеет ценность для вас приводящее к экономическим
последствиям
Нематериальный актив
(собственная стоимость)
Она имеет ценность
Если ей воспользуются
другие, то вы понесете
убытки или проиграете в
Она не имеет ценности, но ее
принято защищать конкурентной борьбе
Не имеет ценности для вас,
но имеет для кого-то еще
Ее защита требуется
государством / регулятором
© Cisco, 2010. Все права защищены. 4058
- 41. ChoicePoint – Зима 2004/2005
• Кража отчета с 145,000 Падение курса
именами клиентов, номеров акций
кредитных карт и т.д.
Воздействие на бизнес
• Администрация штата Нью-
Йорка отказалась от
контракта с ChoicePoint на
сумму 800 миллионов
долларов
© Cisco, 2010. Все права защищены. 4158
- 44. • Глобальная компания, мобильные сотрудники, большая экосистема
сотрудников, партнеров, поставщиков, заказчиков
• Программа доступа с любого устройства
• Активная поддержка сред совместной работы - WebEx,
корпоративные социальные сети – как внутренних, так
и с доступом заказчиков/партнеров
• Cisco поддерживает облачные решения – SaaS, IaaS – как для
внутреннего использования, так и общедоступные
• Постоянно растет популярность решений для мобильных устройств
• К чему это приводит?
Корпоративные данные Корпоративные данные повсюду
в закрытой корпоративной (неконтролируемые устройства/
ИТ-инфраструктуре облако)
© Cisco, 2010. Все права защищены. 4458
- 46. Критерии:
• Данные уровня не ниже Highly Confidential
• Поддержка критически важных бизнес-
процессов
• Данные, регламентируемые нормативными
требованиями
• Данные для аутентификации/авторизации
пользователей
© Cisco, 2010. Все права защищены. 4658
- 47. • Средства управления безопасностью в среде Crown-Jewel
• Аутентификация и авторизация пользователей
и приложений/операций доступа к хостам
• Целостность DBlink и жизненного цикла приложений
• Аудит и журналирование доступа
• Поддержка актуальности версий СУБД и патчей в сфере безопасности
• Формализованный и контролируемый доступ в рамках защищенного сегмента
сети
• Принятые стандарты повышения уровня защищенности СУБД
и операционных систем
• Повышение управляемости и расширение возможностей мониторинга
партнерского доступа к экстранету
• Умышленное искажение или маскирование данных при репликации
в тестовых целях
• Шифрование данных
© Cisco, 2010. Все права защищены. 4758
- 48. “All or Nothing” “All or Nothing”
Доку- Доку-
менты менты
Пользователь Cisco Пользователь Cisco
Шлюз Шлюз
экстранета экстранета
Прил.
ACL Прил.
ACL Фильтрация
B по URL B
Фильтрация
Анализ
по URL
данных
Прил. Прил.
C C
Ineffective with portlets
Работа на Работа на основе
основе доверия доверия с проверкой
По мере увеличения количества партнеров, пользующихся экстранетом,
и расширения способов доступа к экстранету анализ данных становится
критически важным механизмом поддержания требуемого уровня
защищенности ИТ-инфраструктуры
© Cisco, 2010. Все права защищены. 4858
- 49. Интернет ДМЗ Внутренняя
сеть
Внешний
пользователь
Приложение Приложение
• Данные в облаке
всегда зашифрованы
Метаданные
• Ключи шифрования
приложений защищены и
Оператор хранятся в
системы
хранения собственной ИТ-
Ключи инфраструктуре
шифрования организации
• Оптимизация
производительности
Внутренний
пользователь
© Cisco, 2010. Все права защищены. 4958
- 50. • Классификация данных
• Вертикализация
• Бумажная безопасность
• Спектр каналов утечки
• Нефайловые и нетекстовые источники
• Умышленные утечки
• Туманная облачность
• Мобилизация
• Синхронизация
• Интеграция
© Cisco, 2010. Все права защищены. 5058
- 51. • Сопоставление бизнес-стратегии и
стратегии обеспечения ИБ на основании
общего множества данных
• Переход от защиты сети
и хостов к защите данных при
использовании, передаче и
хранении
• Оценка значимости данных,
последующее применение мер
обеспечения ИБ
в рамках их жизненного цикла
• Решения на основе данных
Владение Источник: статья IBM “Data-Centric Security”, декабрь 2006 г.
Классификация
Управление/защита определяются классом данных
© Cisco, 2010. Все права защищены. 5158
- 52. 1. Определение важных данных Для защиты от потерь и краж
Базы данных, системы хранения, каналы связи, конфиденциальных данных
оконечные устройства необходима многоуровневая
платформа
2. Установка политики защиты данных безопасности
Укрепление политики безопасности данных для
предотвращения случайной и намеренной
утечки данных
3. Безопасное подключение
Устранение точек несанкционированного
доступа, шифрование удаленных подключений, Контроль
контроль беспроводного доступа утечек
(DLP)
4. Управление доступом
Ограничение доступа к важным сетям, базам Управление
данных и файлам доступом
5. Контроль утечек (DLP) Безопасные
Контроль важных данных в местах повышенного подключения
риска, проверка содержимого на основе
политик, допустимое использование,
шифрование
Самозащищающаяся сеть
© Cisco, 2010. Все права защищены. 5258
- 55. Наиболее вероятный путь
Изменение
технологий Наименее вероятный путь
Инцидент
Бизнес- Принятие Реализация
Обоснование
требования решения проекта ИБ
Требования
законов
На этом Оценка
«водоразделе» эффективности
Угрозы
многие завершают
всю работу
© Cisco, 2010. Все права защищены. 5558
- 56. PERFORMANCE
ASSESMENT
CXO
MANAGING
IDENTIFY
PURCHASE
ISSUES
INITIATING
APPROVING
EVALUATION
PURCHASE
CIO/CISO
RECOMMENDING
VENDOR
ИТ/ИБ-менеджер
DECIDING WHO
INVOLVED
EVALUATING
SELECTING
POTENTIAL LOB Менеджер
VENDORS
FORMAL CONTACTING
REVIEW VENDORS
Другие
© Cisco, 2010. Все права защищены. 5658
- 57. http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
© Cisco, 2010. Все права защищены. 5758